Explorer.exe是不是病毒?

出自 Wenbanzhu
前往: 導覽搜尋

待解問題.png 問題

Explorer.exe是不是病毒?.jpg
--Eva 2010年3月3日 (三) 12:04 (CST)

問題具體描述:系統進程中有explorer.exe,請問是不是病毒?


最新回答.png 回答

介紹

Explorer.exe可能是病毒。Explorer.exe的兩種存在形式

一、Windows 資源管理器:explorer.exe是Windows程序管理器或者Windows資源管理器,它用於管理Windows圖形殼,包括開始菜單、任務欄、桌面和文件管理,刪除該程序會導致Windows圖形界面無法適用。

二、病毒:explorer.exe也有可能是w32.Codered等病毒。該病毒通過email郵件傳播,當打開病毒發送的附件時,即被感染,會在受害者機器上建立SMTP服務,允許攻擊者訪問你的計算機、竊取密碼和個人數據。

Explorer.exe病毒的介紹

文件名稱:EXPLORER.EXE

病毒名稱:Virus.Win32.VB.bu(卡巴斯基)、Win32/VB.NHZ 蠕蟲(NOD32)、Trojan.PSW.SBoy.a(瑞星)、 Trojan/PSW.Jianghu.ei(江民)

技術分析:病毒窗體標題為「三好學生」,原始碼工程名為EXPLORER.VBP,通過U盤傳播,運行後注入EXPLORER.EXE進程,並試圖盜取以下遊戲帳號和更改註冊信息:

  • 盜取的帳號一般有:Warcraft III、Counter-Strike、NFS Underground 2、Crazy Arcade、O2-JAM、PopKart Client、YB_OnlineClient、legend of mir2、CTRacer Client、Audition、gprs5.com、RQRONLINE、QQGame。

  • 添加註冊表自啟動項:將註冊表中[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]、wsctf.exe=%System32%\wsctf.exe、explorer.exe=%System32%\explorer.exe更改[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WINLOGON]、鍵值為USERINIT.EXE,EXPLORER.EXE,搜索並複製文件wsctf.exe、EXPLORER.EXE到移動硬碟,生成AutoRun.inf文件內容為:

  [autorun]

  OPEN=EXPLORER.EXE

  shell\open=打開(&O)

  shell\open\Command=EXPLORER.EXE

  shell\open\Default=1

  shell\explore=資源管理器(&X)

  shell\explore\Command=EXPLORER.EXE

清除Explorer.exe病毒

手動清除的步驟如下:

  1. 中毒的電腦在進入XP系統的時候,會看不到界面,然後用Alt+Ctrl+Del進入任務管理器,你會發現CPU的使用率一直保持在100%上下,而且有兩個EXPLORER.EXE進程(其中一個是正常進程,是系統調用的。若不能區別,可把兩個進程都結束掉,再「切換到-應用程式-新任務-瀏覽-選擇」C:WINDOWS「文件夾下的explorer.exe,然後打開就可以重啟系統的EXPLORER.EXE進程),還有一個可疑進程wsctf.exe.關了這兩個後,能進入操作界面,但病毒還沒清理乾淨。
  2. 用殺毒軟體殺毒,會發現這兩個病毒位於」C: WINDOWSsystem32「,病毒名為」Trojan.PSW.SBoy.a/b「。很多殺毒軟體並不能殺除。
  3. 由於重啟後病毒還在而且進不了系統,可以推斷病毒很大可能就在啟動項裡面,重複第一步,進入系統後,「開始-運行-msconfig」,把這兩個名字的複選框解除,確定後選擇「退出而不重啟」。
  4. 我的電腦-工具-文件夾選項-查看-解除」隱藏受保護的作業系統文件「複選,在彈出的對話框中按」是「,然後再選擇」顯示所有文件和文件夾「,進入」C:WINDOWSsystem32「-刪除掉文件夾裡面的wsctf.exe和EXPLORER.EXE兩個文件(如果刪除不了可以更改其後綴名為。txt 再將其刪除)。
  5. 開始-運行-regedit,按確定後打開註冊表。進入HKEY_CURRENT_USER SoftwareMicrosoft WindowsCurrentVersionRun目錄,右鍵刪除掉wsctf.exe和EXPLORER.EXE兩條記錄。進入 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon,可以看到鍵值項Userinit,其值為userinit.exe,EXPLORER.EXE,雙擊Userinit將中間的逗號和 EXPLORER.EXE刪除。
  6. 重啟電腦。

提示

  • explorer.exe常被病毒冒充的進程名有:iexplorer.exe、expiorer.exe、explore.exe。
  • explorer.exe進程默認是和系統一起啟動的,其對應可執行文件的路徑為「C:\Windows」目錄,除此之外則為病毒(僅適用XP系統)。
  • 這裡推薦兩款軟體:Unlocker和冰刃(冰刃有一定的危險,電腦新手使用對系統會有不可逆轉的損害,新手使用時要格外小心,並且做好備份)。它們都能輕鬆的刪除頑固的防刪文件,冰刃也是一款威力強大的清理軟體,配合使用,基本沒有什麼文件是刪不掉的。


明星版主.png 版主: 本頁回答由版主「Ly651686474」負責,您可以查看Ly651686474介紹和編輯或者給Ly651686474留言


分類瀏覽.png 分類電腦|是什麼|explorer|進程|病毒

討論.png 討論

關於「Explorer.exe是不是病毒?」的留言:

目前暫無留言

新增相关留言